- Копирование на профиле диагностики
- Ошибка при копировании контейнера
- Методика тестирования
- Как произвести копирование сертификата с рутокен
- Установка закрытого ключа в реестр
- Перенос контейнеров закрытых ключей и сертификатов cryptopro
- Как привязать сертификат к контейнеру
- Как скопировать сертификат в реестр КриптоПРО
- На MacOS в КриптоПро CSP версии 4
- Экспорт pfx-файла и его установка
- Экспорт сертификата и закрытого ключа
- Как скопировать электронную цифровую подпись через КриптоПро
- Сообщений с 16 по 26 из 26
- #16 2022-01-21 18:04:27
- Re: Ключ полученный в ФНС
- #17 Ответ от vr@soctv. ru 2022-01-21 18:08:51
- Re: Ключ полученный в ФНС
- #18 Ответ от Ксения Шаврова 2022-01-24 11:31:15
- Re: Ключ полученный в ФНС
- #19 Ответ от RinatFatyxov 2022-01-26 14:57:00
- Re: Ключ полученный в ФНС
- #20 Ответ от Фатеева Светлана 2022-01-27 10:33:09
- Re: Ключ полученный в ФНС
- #21 Ответ от BurningSpear 2022-02-11 11:41:15
- Re: Ключ полученный в ФНС
- #22 Ответ от Vladimir Ivanov 2022-02-11 13:55:11
- Re: Ключ полученный в ФНС
- #23 Ответ от Анжелина 2022-02-22 17:40:38
- Re: Ключ полученный в ФНС
- #24 Ответ от Фатеева Светлана 2022-02-24 10:49:17
- Re: Ключ полученный в ФНС
- #25 Ответ от krasa23 2022-04-12 12:35:16
- Re: Ключ полученный в ФНС
- #26 Ответ от Фатеева Светлана 2022-04-12 12:49:19
- Re: Ключ полученный в ФНС
- Примеры сценариев при импорте и экспорте сертификата
- Перенос сертификатов из реестра без КриптоПРО
- Копирование с помощью криптопро csp
- Часто задаваемые вопросы по теме статьи (faq)
- Массовый перенос ключей и сертификатов cryptopro на другой компьютер
- Когда нужно копировать сертификаты КриптоПРО в реестр
- Копирование контейнера из реестра другого пользователя
- Как скопировать ЭЦП из реестра другого пользователя
- Матчасть
- Как скопировать ЭЦП на флешку
- Можно ли скопировать ЭЦП
- Как скопировать эцп из реестра на флешку
- Копирование закрытого ключа из КриптоПро
- Массовый перенос ключей и сертификатов CryptoPro на другой компьютер
- Перенос сертификатов в виде пошаговой инструкции
- Проведение копирования контейнера с помощью встроенных средств операционной системы windows
- На MacOS в КриптоПро CSP версии 5
- Когда нужно переносить сертификаты в другое место?
- Сообщение-отдел 19
- По-новому взглянем на наш тестовый стенд
- Как скопировать ЭЦП на компьютер
- Получается, что рутокен эцп и jacarta гост не являются токенами с неизвлекаемым ключом?
- Ошибка 0x8009000B Ключ не может быть использован в указанном состоянии
- Способы копирования ЭЦП
- Извлечение сертификата из контейнера
- Копирование закрытого ключа в реестр
- Копирование при помощи мастера экспорта ключей
- Массовое копирование
- Когда нужно переносить сертификаты в другое место?
- Зачем копировать сертификаты ЭЦП
Копирование на профиле диагностики
1. Зайдите на профиль Диагностики «Копирования» по ссылке.
2. Вставьте носитель, на который необходимо скопировать сертификат.
3. На нужном сертификате нажмите на кнопку «Скопировать».
Если на контейнер был задан пароль — появится сообщение «Введите пароль для устройства с которого будет скопирован сертификат».
Введите пароль и нажмите на кнопку «Далее».
4. Выберите носитель, куда необходимо скопировать сертификат и нажмите «Далее».
5. Задайте имя новому контейнеру и нажмите на кнопку «Далее».
6. Должно появиться сообщение об успешном копировании сертификата.
Ошибка при копировании контейнера
Если при создании ключа электронной подписи он не был помечен как экспортируемый, то скопировать или скачать его на ПК с токена не получится. Система выдаст ошибку копирования (0x8009000B (-2146893813)).
Чтобы перенести сертификат с токена придется воспользоваться другим способом. Через IE пользователь открывает «Содержание» через «Настройки».
Затем нужно выбрать сертификат и нажать «Экспорт».
В новом окне пользователь выбирает экспортирование закрытого ключа и проставляет все нужные галочки.
Далее нужно указать пароль, т.к. без него продолжать нельзя. А также пользователю нужно указать имя файла и место, куда нужно сохранить закрытый ключ. Остается лишь скопировать сертификат. Для этого нужно выбрать сертификат в списке, нажать «Экспорт» и выбрать файл .CER.
При правильной последовательности появляются два файла: .pfx и .cer.
Для завершения копирования нужно лишь перенести эти файлы на другой компьютер или носитель и запустить их установку при помощи мастера установки сертификатов.
Копирование закрытого ключа электронной подписи нужно в нескольких случаях: при частых путешествиях и в работе с нескольких ПК. Также перенести ключ ЭЦП на рабочий стол можно и для того, чтобы избежать порчи и потери USB-носителя. Процесс копирования проходит в несколько последовательных шагов, а выбрать можно для этого любой удобный способ. Это может быть простое извлечение ключа из закрытого контейнера, копирование при помощи КриптоПро или системный проводник. Ошибки при работе могут возникнуть только в случае защищенного от экспорта сертификата. Тогда пользователю придется произвести копирование при помощи браузера Internet Explorer.
https://youtube.com/watch?v=pdWwLv6sor4%3Ffeature%3Doembed
Методика тестирования
Смоделируем типовой процесс подготовки Администратором информационной безопасности ключевых документов для организации ЭДО:
- генерируется контейнер закрытого ключа и запрос на сертификат открытого ключа;
- после прохождения в удостоверяющем центре процедуры сертификации из запроса получается сертификат;
- сертификат в совокупности с контейнером закрытого ключа образует готовую для использования ключевую информацию. Данную ключевую информацию, записанную на носителе, будем называть исходным ключевым документом;
- с исходного ключевого документа изготавливаются копии, которые записываются на отчуждаемые носители (далее будем называть их рабочими ключевыми документами) и передаются уполномоченным пользователям;
- после изготовления необходимого количества рабочих ключевых документовисходный ключевой документ уничтожается или депонируется на хранение в орган криптографической защиты информации.
В нашем случае мы не будем пользоваться услугами центров сертификации, а сгенерируем ключевой контейнер с самоподписанным сертификатом и разместим его в реестре компьютера (АРМа генерации ключевой информации), это и будет
исходный ключевой документ
. Затем скопируем ключевую информацию на Рутокен ЭЦП и JaCarta ГОСТ, изготовив
рабочие ключевые документы
. После этого уничтожим
исходный ключевой документ
, удалив из реестра ключевой контейнер. И, наконец, попробуем скопировать ключевую информацию с рабочих ключевых документов обратно в реестр.
Как произвести копирование сертификата с рутокен
На одном накопителе Рутокен может находиться до 28 сертификатов ЭЦП (зависит от объема встроенной памяти). Этого достаточно для решения задач даже с учетом постепенного копирования на имеющийся носитель дополнительных ключей. На практике иногда приходится сталкиваться с необходимостью копирования сертификата с токена для переноса на другой или временного хранения на жестком диске, в облаке.
Перед выполнением копирования необходимо понимать, что сделать это традиционным способом с локального диска компьютера невозможно. Подобная операция доступна при наличии одного из следующих считывателей:
Если в качестве исходного носителя используется USB-накопитель, то контейнер с размещенным сертификатом должен находиться в корневой папке. Параллельно на нем может располагаться другая информация любой степени вложенности, которая не будет мешать работе с контейнером во время подписи документации.
Обратим внимание, что использование обычного USB-накопителя стоит рассматривать исключительно в качестве временной меры для хранения сертификатов и ключей из-за риска их хищения злоумышленниками. Исключением будет случай, когда подобное копирование используется для получения дополнительного комплекта файлов на случай выхода из строя Рутокен.
Установка закрытого ключа в реестр
Теперь когда ваш закрытый ключ находится в реестре, давайте установим личный сертификат. Для этого откройте на вкладке “Сервис” кнопку “Посмотреть сертификат в контейнере”
Далее в окне “онтейнер закрытого ключа” нажмите кнопку “Обзор”.
И выберите сертификат из реестра, он будет с тем именем, что вы ему задавали.
Нажимаем далее.
После чего производится установка закрытого ключа в реестр, через соответствующую кнопку.
Видим, что сертификат был установлен в хранилище “Личные” текущего пользователя.Как видите, было очень просто скопировать закрытый ключ в реестр операционной системы.
Перенос контейнеров закрытых ключей и сертификатов cryptopro
Криптопровайдер КриптоПро на сегодняшний день является, пожалуй, самым популярным на рынке, по крайней мере в России. Я хочу рассказать, как быстро и удобно перенести большое количество контейнеров закрытых ключей CryptoPro и сертификатов к ним. Существует штатный механизм в самой программе, работает в ручном режиме и не подходит, когда надо перенести большое количество.
Если у вас есть желание научиться строить и поддерживать высокодоступные и надежные системы, рекомендую познакомиться с онлайн-курсом «DevOps практики и инструменты» в OTUS. Курс не для новичков, для поступления нужно пройти вступительный тест.
Как привязать сертификат к контейнеру
Для привязки сертификата ключа электронной подписи к контейнеру нужно:
- Через «Панель управления» перейти к КриптоПро и выбрать «Свойства»/«Сервис»/«Установить личный сертификат».
- В мастере установки через «Обзор» выбрать сертификат.
- Затем в мастере установки нажать «Далее».
- Еще раз нажать «Далее».
- Выбрать ключевой контейнер, к которому будет привязан сертификат.
- При необходимости сертификат можно поместить в личное хранилище или любое другое место на ПК.
- Нажать «Готово».
На этом привязка сертификата к контейнеру завершена.
Как скопировать сертификат в реестр КриптоПРО
CryptoPRo позволяет производить установку с копирование закрытого ключа (сертификата) в реестр Windows.
Хочу вас сразу предупредить, что с точки зрения безопасности, это очень не надежно и ваши закрытые ключи могут быть похищены, если вы не организовываете надлежащий уровень безопасности
И так, у меня есть USB токен SafeNet, на который я выпустил тестовую ЭЦП, ее я буду переносить вместе с закрытым ключом в реестр Windows. Открываем утилиту CryptoPRO с правами администратора.
Переходите на вкладку “Сервис” и нажимаете “скопировать”
У вас откроется окно “Контейнер закрытого ключа”, тут вам нужно нажать кнопку “Обзор”, что бы выбрать ваш сертификат, который вы хотите скопировать в реестр.
В итоге у вас в поле “Имя ключевого контейнера” отобразиться абракадабровое имя.
Нажимаем далее.
У вас появится окно с вводом пин-кода от вашего USB токена.
Теперь вам необходимо задать имя для копируемого сертификата в реестр Windows, КриптоПРО благо, это позволяет. Я назвал его “Копия сертификата в реестре (Семин Иван)”
Теперь вам необходимо положить сертификаты КриптоПРО в реестр, для этого выбираем соответствующий пункт и нажимаем “Ок”.
На следующем шаге вам предложат установить новый пароль на ваш контейнер с закрытым ключом, советую установить его и желательно посложнее.
На MacOS в КриптоПро CSP версии 4
- Откройте программу Launchpad и введите в строке поиска слово «терминал».
- Запустите Терминал (Terminal).
- Введите команду:
/opt/cprocsp/bin/csptestf -keyc -contsrc <откуда и что копируем> -contdest <куда и имя копии>- /opt/cprocsp/bin/csptestf -keyc -contsrc ‘SCARD\rutoken_lt_99999999\0A00’ -contdest ‘\\.\HDIMAGE\123’ — с рутокена в реестр;
- /opt/cprocsp/bin/csptestf -keyc -contsrc ‘HDIMAGE\\123.000’ -contdest ‘\\.\FLASH\key’ — из реестра на флешку.
Если появилось сообщение «Authentication» придумайте пароль для контейнера.
Экспорт pfx-файла и его установка
Экспорт сертификата с закрытым ключом
1. Откройте оснастку работы с сертификатами:
— Пуск → Все программы → КриптоПро → Сертификатылибо— Internet Explorer → Сервис → Свойства обозревателя → вкладка Содержание → Сертификаты.
2. Откройте сертификат, который нужно скопировать. На вкладке «Состав» нажмите «Копировать в файл».
7. Экспортируйте открытый ключ сертификата (см. Экспорт открытого ключа).
8. Заархивируйте полученные файлы форматов .pfx и .cer.
Установка сертификата с закрытым ключом
https://youtube.com/watch?v=pdWwLv6sor4%3Ffeature%3Doembed
1. Откройте .pfx файл. Сразу запустится «Мастер импорта сертификатов».
2. Укажите хранилище «Текущий пользователь» и нажмите «Далее», затем снова «Далее».6. Для корректной работы сертификата со встроенной лицензией переустановите сертификат в контейнер (см. Как установить личный сертификат в КриптоПро).
Экспорт сертификата и закрытого ключа
Инструкции
администратора
Инструкция по работе с сертификатами пользователей всистеме DIRECTUM
Экспортсертификата и закрытого ключа
Закрытый ключ и сертификатдля пользователя следует экспортировать в файлы. Будет получено двафайла: сертификат с расширением «.CER» для регистрации всистемеDIRECTUMи закрытый ключ срасширением «.PFX» для установки на компьютерепользователя.
Экспорт сертификата в файл«.CER»
· Шаг 1. Накомпьютере, где был запрошен сертификат пользователя, запуститьInternet Explorer;
· Шаг2.ВокнеInternet
Explorer:
· выбрать изверхнего меню Сервис/Свойства обозревателя;
· перейти назакладку «Содержание»;
· нажать кнопку
Сертификаты…;
· Шаг 3. В окне«Сертификаты»:
· перейти назакладку «Личные»;
· выбрать изсписка сертификат, который нужно экспортировать;
· нажать кнопку
Экспорт;
· Шаг 4. Окно«Мастер экспорта сертификатов»:
· нажать кнопкуДалее >;
· Шаг 5. Окно«Мастер экспорта сертификатов»/ «Экспортирование закрытогоключа»:
· установитьпереключатель «Нет, не экспортировать закрытый ключ»;
· нажать кнопкуДалее >;
· Шаг 6. Окно«Мастер экспорта сертификатов»/ «Формат экспортируемогофайла»:
· установитьпереключатель «Файлы в DER-кодировке X.509 (.CER)»;
· нажать кнопкуДалее >;
· Шаг 7. Окно«Мастер экспорта сертификатов»/ «Имя файла экспорта»:
· указать путь и
имя файла, в который будет экспортирован сертификат, для задания
пути можно воспользоваться кнопкой Обзор…;
· нажать кнопкуДалее >;
· Шаг 8. Окно«Мастер экспорта сертификатов»/«Завершение работы мастера экспортасертификатов»:
· нажать кнопку
Готово;
· Шаг 9. Окно«Мастер экспорта сертификатов»:
· нажать кнопку
ОК.
Полученный файл срасширением .CER будет использован для регистрации сертификата всистеме DIRECTUM.
Экспорт закрытого ключа вфайл «.PFX»
· Шаг1.ВокнеInternet
Explorer:
· выбрать изверхнего меню Сервис/Свойства обозревателя;
· перейти назакладку «Содержание»;
· нажать кнопку
Сертификаты…;
· Шаг 2. В окне«Сертификаты»:
· перейти назакладку «Личные»;
· выбрать изсписка сертификат, который нужно экспортировать;
· нажать кнопку
Экспорт;
· Шаг 3. Окно«Мастер экспорта сертификатов»:
· нажать кнопкуДалее >;
· Шаг 4. Окно«Мастер экспорта сертификатов»/ «Экспортирование закрытогоключа»:
· установитьпереключатель «Да, экспортировать закрытый ключ»;
· нажать кнопкуДалее >;
· Шаг 5. Окно«Мастер экспорта сертификатов»/ «Формат экспортируемогофайла»:
· установитьпереключатель «Файл обмена личной информацией – PKCS #12(.PFX)»;
· установитьгалочки «Включить по возможности все сертификаты в путьсертификата», «Включить усиленную защиту (требуется IE 5.0, NT 4.0SP4 или выше)», «Удалить закрытый ключ после успешногоэкспорта»;
· нажать кнопкуДалее >;
· Шаг 6. Окно«Мастер экспорта сертификатов»/«Пароль»:
· ввести пароль надоступ к сертификату и подтверждение пароля;
· нажать кнопкуДалее >;
· Шаг 7. Окно«Мастер экспорта сертификатов»/ «Имя файла экспорта»:
· указать путь и
имя файла, в который будет экспортирован сертификат, для задания
пути можно воспользоваться кнопкой Обзор…;
· нажать кнопкуДалее >;
· Шаг 8. Окно«Мастер экспорта сертификатов»/«Завершение работы мастера экспортасертификатов»:
· нажать кнопку
Готово;
· Шаг 9. Окно«Мастер экспорта сертификатов»:
· нажать кнопку
ОК.
Полученный файл срасширением «.PFX» будет использован дляимпорта закрытого ключа на компьютер пользователя.
См. также:
· Общие сведения оработе с сертификатами;
· Генерация для пользователя закрытого ключа и сертификата наMicrosoft Windows 2000 Server;
· Генерация для пользователя закрытого ключа и сертификата наMicrosoft Windows 2003 Server;
· Регистрация сертификатов в системе DIRECTUM;
· Установка закрытого ключа;
· Отзыв
сертификата.
Как скопировать электронную цифровую подпись через КриптоПро
Инструменты программного обеспечения КриптоПро CSP позволяют быстро скопировать подпись. Актуальная версия программы — КриптоПро CSP 5.0, но для работы допускаются и более ранние версии.
Пошаговая инструкция, как скопировать ЭЦП через КриптоПро CSP:
Шаг 1. Вызываем меню «Пуск» и заходим в панель управления. Находим КриптоПро CSP — вкладку «Сервис». Нажимаем «Скопировать».
Шаг 2. Откроется окно для копирования. Переходим по кнопке «Обзор» и выбираем контейнер, который надо скопировать. Нажимаем «Далее».
Если надо снять копию с токена, укажите PIN-код в окне ввода.
Шаг 3. Задаем имя новому контейнеру. Можно написать его русскими буквами и с пробелами. Нажимаем «Готово».
Шаг 4. Вставляем носитель, на который надо скопировать ЭП. Выбираем его в окне «Вставьте чистый ключевой носитель».
Шаг 5. Вводим новый пароль для ключевого контейнера. Если пароль вам не нужен, просто нажмите «Ок». Но работать без пароля опасно: незащищенный ключ легче скомпрометировать. И не храните пароли и PIN-коды в открытом доступе для всех пользователей ПК.
Если записываете ЭП на токен, вместо пароля надо ввести PIN-код. Как только сохраните пароль или PIN-код, копирование завершится. Система автоматически перенаправит пользователя на вкладку «Сервис».
Сообщений с 16 по 26 из 26
#16 2022-01-21 18:04:27
- vr@soctv.ru
Re: Ключ полученный в ФНС
Фатеева Светлана, лицензию я не покупал
#17 Ответ от vr@soctv. ru 2022-01-21 18:08:51
- vr@soctv.ru
Re: Ключ полученный в ФНС
Фатеева Светлана, лицензию я не покупалФатеева Светлана, или это не поможет?
#18 Ответ от Ксения Шаврова 2022-01-24 11:31:15
- Ксения Шаврова
Re: Ключ полученный в ФНС
vr@soctv.ru, приветствую.
Перенос ключа на другой носитель не поможет. Нужно приобрести лицензию на использование программного продукта «КриптоПро CSP».Например, в одном из интернет-магазинов.
#19 Ответ от RinatFatyxov 2022-01-26 14:57:00
- RinatFatyxov
Re: Ключ полученный в ФНС
Фатеева Светлана, Здравствуйте, не могу зарегистрироваться в Едином реестре участников закупки, с ЭЦП, полученной в ФНС, после выбора сертификата идет попытка перехода на следующую страницу и не удается отобразить страницу, больше ничего
#20 Ответ от Фатеева Светлана 2022-01-27 10:33:09
- Фатеева Светлана
Re: Ключ полученный в ФНС
Здравствуйте, RinatFatyxov, Пришлите пожалуйста скриншот “Панели управления Рутокен” на вкладке Сертификаты и скриншот программы “Криптопро CSP” на вкладке Общие.
#21 Ответ от BurningSpear 2022-02-11 11:41:15
- BurningSpear
Re: Ключ полученный в ФНС
Здравствуйте! У нас в Компании ЭЦП Генерального директора пользуются 9 человек. Судя по всему, ЭЦП он получал в те времена, когда закон разрешал копировать ЭЦП; у каждого из этих сотрудников есть флешка с ЭЦП Гендира. Сейчас у нас вступает в должность новый генеральный директор. Соответственно, мы купим Рутокен, и ФНС запишет ЭЦП только в одном экземпляре. Подскажите, пожалуйста, у Вас, наверное, были такие кейсы. Есть ли какая-то возможность, чтобы эти 9 человек могли продолжить подписывать документы ЭЦП Ген директора не бегая друг к другу за Рутокеном?
#22 Ответ от Vladimir Ivanov 2022-02-11 13:55:11
- Vladimir Ivanov
Re: Ключ полученный в ФНС
BurningSpear пишет:
Здравствуйте! У нас в Компании ЭЦП Генерального директора пользуются 9 человек. Судя по всему, ЭЦП он получал в те времена, когда закон разрешал копировать ЭЦП; у каждого из этих сотрудников есть флешка с ЭЦП Гендира. Сейчас у нас вступает в должность новый генеральный директор. Соответственно, мы купим Рутокен, и ФНС запишет ЭЦП только в одном экземпляре. Подскажите, пожалуйста, у Вас, наверное, были такие кейсы. Есть ли какая-то возможность, чтобы эти 9 человек могли продолжить подписывать документы ЭЦП Ген директора не бегая друг к другу за Рутокеном?
Добрый день! Не существует юридических оснований для использования чужого ключа электронной подписи.Для применения ЭП сотрудниками нужно получить КСКПЭП для каждого сотрудника, который в этом нуждается и дать ему соответствующие полномочия.
#23 Ответ от Анжелина 2022-02-22 17:40:38
- Анжелина
Re: Ключ полученный в ФНС
Добрый день!
Ключ Рутокен ЭЦП 2.0 получен в удостоверяющем центре Тензор.Установлены последние драйверы для Рутокен.Лицензия КриптоПро актуальна.(Скриншот прилагаю)
По ЭЦП входит на портал Госуслуг в Chrome.
IExplorer: регистрация в Едином Реестре Участников Закупок при входе возникают проблемы.
ЕИС видит ИП, но когда нажимаешь на фамилию, выдает список сертификатов, которые уже есть в Windows, кроме этого.
Нет возможности создать обращение в тех.поддержку zakupki.gov.ru, так как для записи действий тоже необходимо выбрать сертификат, с которым возникает проблема.
Надеюсь на скорейшую Вашу помощь!
С уважением,
Семенова Анжелина.
#24 Ответ от Фатеева Светлана 2022-02-24 10:49:17
- Фатеева Светлана
Re: Ключ полученный в ФНС
Здравствуйте, Анжелина, У вас на Рутокен ЭЦП 2.0, сгенерирована электронная подпись в формате PKCS#11, для работы с которой в некоторых сервисах вам не надо использовать дополнительный платный программный продукт – «КриптоПро CSP».С вашей электронной подписью вы можете работать без «КриптоПро CSP» на тех площадках, которые умеют работать с подписями формата PKCS#11, например, портал Госуслуги, Честный знак и nalog.ru.Если же планируется использование этой ЭП на ресурсах, которые работают только с «КриптоПро Browser Plug-In», тогда потребуется ещё купить лицензию и установить программу «КриптоПро CSP» версии 5.0 R2 на ваш компьютер.Наличие нужных программ на вашем компьютере каждая площадка устанавливает самостоятельно и эту информацию размещают в Инструкциях по настройке рабочего места. Также это можно уточнить обратившись в техническую поддержку самого портала.
#25 Ответ от krasa23 2022-04-12 12:35:16
- krasa23
Re: Ключ полученный в ФНС
Фатеева Светлана, добрый день! подскажите пожалуйста! ИП не можем зарегистрироваться в ЕРУЗ, зайти на сайт госуслуги и прочее. ЭЦП получена в ФНС. С ЭЦП, полученными ранее (не в ФНС ) проблем не было
#26 Ответ от Фатеева Светлана 2022-04-12 12:49:19
- Фатеева Светлана
Re: Ключ полученный в ФНС
Здравствуйте, krasa23, Для работы электронных подписей, полученных в УЦ ФНС на носителе Рутокен Lite, необходимо чтоб в программе Криптопро CSP была введена лицензия как указано в инструкции.
Примеры сценариев при импорте и экспорте сертификата
Если вы мой постоянный читатель, то вам уже должны быть знакомы понятие SSL сертификата, его виды и назначение. Сейчас уже сложно себе представить работу юридических лиц, ИП и обычных граждан без сертификатов и ЭЦП. Многие программы используют их для шифрования трафика, например при документообороте или при доступе к сервису, очень частый пример, это кабинет клиент-банка.
В большинстве случаев у людей на компьютере установлена операционная система Windows, она не идеальна и бывают частые случаи ее выхода из строя. При таком раскладе у вас легко могла возникать ситуация по восстановлению вашего сертификата из хранилища Windows, или при обновлении вашего компьютера на более новый, где так же производили перенос сертификатов, я приводил такой пример для КриптоПРО. Переходим к практике.
Перенос сертификатов из реестра без КриптоПРО
Существуют методы экспортировать закрытый ключ и без изспользования утилиты КриптоПРО. Представим себе ситуацию, что у вас на него кончилась лицензия и вы не успели ее купить. Вам нужно сдать отчетность в СБИС. Вы развернули CryptoPRO на другом компьютере, так как он позволяет 3 месяца бесплатного использования, осталось для СБИС выполнить перенос сертификатов, которые у вас в реестре Windows.
У нас два варианта:
- Использование оснастки mmc-Сертификаты пользователя.
- Использование Internet Explore
Как открыть оснастку сертификаты я уже подробно рассказывал, посмотрите. Откройте там контейнер “Личное – Сертификаты”. Если у вас в контейнере не один сертификат с одинаковым именем, такое может быть, то откройте сертификат в оснастке mmc и в КриптоПРО и сравните серийные номера сертификата.
В Internet Explore, откройте “Свойства браузера – Содержание – Сертификаты”
Теперь нам необходимо его экспортировать, в оснастке “Сертификаты”, через правый клик, это можно сделать, в Internet Explorer, сразу видно кнопку, экспорт.
У вас откроется мастер переноса сертификатов, на первом шаге, просто нажимаем далее. После чего вас спросят, что вы хотите экспортировать, выбираем пункт “да, экспортировать закрытый ключ вместе с сертификатом”
Если ваш закрытый ключ запрещено экспортировать, то эта кнопка будет не активна, и можете сразу закрывать данный метод и переходить к следующему.
Следующим этапом в мастере экспорта сертификатов, вам необходимо выбрать формат выгрузки, это будет PFX архив.
Далее вы задаете обязательно пароль и указываете имя и место, где будите сохранять ваш переносимый контейнер с зарытым ключом в формате pfx.
Мастер экспорта сертификатов, выведет вам сводные данные, нажимаем “Готово”.
Отрываем локацию, куда вы его выгрузили, и найдите свой pfx архив.
Теперь вам нужно еще выгрузить открытый ключ в формате cer, для этого так же зайдите в мастер экспорта, но на этот раз выберите “Нет, не экспортировать закрытый ключ”.
Выберите формат файла “X.509 (.CER) в кодировке DEP”, задайте ему имя и место сохранения. На выходе у вас появятся два файла.
Одни открытый ключ в формате cer и закрытый ключ в формате pfx. Этого набора вам будет достаточно, чтобы перенести сертификаты СБИС, Контура и остальных программ на другой компьютер.
Теперь перенесите эти файлы на другое рабочее место и просто запустите, через простой двойной клик. У вас откроется мастер импорта сертификатов, на первом окне выберите нужное вам хранилище, я в своем примере оставлю “Текущий пользователь”.
На втором шаге проверяем импортируемый сертификат.
Указываем пароль, который задавали при выгрузке.
Оставляем автоматический выбор хранилища на основе типа сертификатов.
Готово. Со вторым файлом то же самое. После чего у вас будут перенесены нужные вам ключи и сам сертификат, можно работать.
Копирование с помощью криптопро csp
Выберите «Пуск» > «Панель управления» > «КриптоПро CSP». Перейдите на вкладку «Сервис» и кликните по кнопке «Скопировать».
В окне «Копирование контейнера закрытого ключа» нажмите на кнопку «Обзор».
Выберите контейнер, который необходимо скопировать, и кликните по кнопке «Ок», затем «Далее». Если вы копируете с рутокена, то появится окно ввода, в котором следует указать pin-код. Если вы не меняли pin-код на носителе, стандартный pin-код — 12345678.
Придумайте и укажите вручную имя для нового контейнера. В названии контейнера допускается русская раскладка и пробелы. Затем кликните «Готово».
В окне «Вставьте чистый ключевой носитель» выберите носитель, на который будет помещен новый контейнер.
На новый контейнер будет предложено установить пароль. Рекомендуем установить такой пароль, чтобы вам было легко его запомнить, но посторонние не могли его угадать или подобрать. Если вы не хотите устанавливать пароль, можно оставить поле пустым и нажать «ОК».
Не храните пароль/pin-код в местах, к которым имеют доступ посторонние. В случае утери пароля/pin-кода использование контейнера станет невозможным.
Если вы копируете контейнер на смарт-карту ruToken, сообщение будет звучать иначе. В окне ввода укажите pin-код. Если вы не меняли pin-код на носителе, стандартный pin-код — 12345678.
После копирования система вернется на вкладку «Сервис» КриптоПро CSP. Копирование завершено. Если вы планируете использовать для работы в Экстерне новый ключевой контейнер, установите его через Крипто Про.
Часто задаваемые вопросы по теме статьи (faq)
Можно ли перенести сертификат, который находится на токене и защищен от копирования?
Очевидно, что предложенное в статье решение для этого не подойдет. Ведь тут идет речь о переносе сертификатов, которые хранятся в реестре, то есть уже были скопированы. Технические средства для копирования защищенных крипто контейнеров тоже существуют, но это не такое простое и очевидное решение.Безопасно ли хранить сертификаты в реестре?
Это не безопасно и в общем случае я не рекомендую это делать. USB токены для хранения сертификатов придуманы не просто так. Они реально защищают сертификаты от несанкционированного копирования. Если у вас нет объективной необходимости копировать сертификаты в реестр, лучше этого не делать.
Нет, не подойдет. В статье описан способ переноса сертификатов CryptoPro. Другие криптопровайдеры хранят сертификаты по-другому. Универсального способа для всех не существует.Есть ли какой-то очень простой способ скопировать сертификаты crypto pro? То, что описано в статье слишком сложно для меня.
Да, есть статья на сайте контура, в ней ссылка на утилиту для копирования контейнеров Certfix. Можете воспользоваться ей.
Бывает случаи, когда при копировании сертификата возникает ошибка: «Ошибка копирования контейнера». Делимся инструкцией, что делать в такой ситуации.
При копировании сертификата возникает ошибка:
«Ошибка копирования контейнера 123456789@28-07-2022 Иванов Иван Иванович: У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0x8009000B (-2146893813) Ключ не может быть использован в указанном состоянии»
Для решения данной проблемы необходимо:
Crypto Pro 5.0
- Проверить наличие лицензии на КриптоПроCSP. Ошибка может возникать на КриптоПРО CSP с истекшими сертификатами со встроенной лицензией. Для автоматического ввода лицензии нужно перейти и установить лицензию .
- Повторить копирование сертификата.
- Если в имени контейнера есть строка типа: _копия_a0b63dd8 (например 06208439@2022-12-29-ЗАО ПФ СКБ Контур_копия_a0b63dd8), то контейнер имеет признак неэкспортируемый. Следуйте инструкции в зависимости от носителя:
сертификат в реестре, на USB-флеш-накопителе, локальном компьютере или дискетесертификат на рутокене
- При копировании, в окне выбора контейнера, нужно поставить переключатель Уникальные имена, продолжить копирование.
- Проверить, что КриптоПро запущена с правами администратора. На вкладке «Общие» не должно быть ссылки «Запустить с правами администратора». Если ссылка есть — нажать на ее.
Массовый перенос ключей и сертификатов cryptopro на другой компьютер
Выше описанные методы хороши, когда у вас один или 5 ключиков в реестре, а как быть если их десятки. Помню лет 5 назад, когда я еще был младшим администратором, то я очень часто устанавливал электронные цифровые подписи главбуху, так как она работала в СБИС и сдавала там постоянно отчетность по огромному количеству организаций, по типу рога и копыта.
Держать кучу токенов было не вариант, и для таких вещей у нее все хранилось в реестре и копия сертификатов была на флешке в сейфе. Флешку потом потеряли, встал вопрос сделать резервную копию всего и плюс обновить систему, в виду нового компьютера, на операционной системе Windows 8.1. ЭЦП было штук 50, а так как я ценю свое время, то и искал методы, выполнить это быстрее, к счастью я его нашел.
Заключался метод переноса сертификатов из реестра, в выгрузке веток и подмене SID значения, но обо всем по порядку. О том, как посмотреть SID пользователя и что это такое я рассказывал.
Открываете командную строку cmd и вводите команду:
Когда нужно копировать сертификаты КриптоПРО в реестр
Существует ряд задач, когда удобно иметь вашу ЭЦП подпись в реестре Windows:
1. При тестировании настроенного окружения для торговых площадок, для входа на которые используется ЭЦП подпись. 2. Когда у вас виртуальная инфраструктура и нет возможности, произвести проброс USB устройств по локальной сети 3. Ситуации, когда КриптоПРО не видит USB токена 4. Ситуации, когда USB ключей очень много и нужно работать одновременно с 5-ю и более ключами, примером может служить программа по сдачи отчетности СБИС
Копирование контейнера из реестра другого пользователя
1. Необходимо найти ветку реестра с нужным контейнером. Ветки реестра, в которых может быть контейнер закрытого ключа:
2. После того, как нашли нужную ветку, нажмите правой кнопкой мыши на ветку с контейнером и выберите «Экспортировать».
3. Введите имя файла и нажмите на кнопку «Сохранить».
4. Скопируйте файл на тот компьютер, где будете работать с электронной подписью обычными средствами Windows.
Как скопировать ЭЦП из реестра другого пользователя
Если копирование основными средствами (Windows, КриптоПро) не получилось, попробуйте скопировать ЭЦП из реестра на флешку или другой носитель. Найдите папку, в которой находится реестр компьютера с ключевыми контейнерами. Локация зависит от версии Windows:
- если 32-разрядная, перейдите по ветке: HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\Users\*идентификатор пользователя*\Keys\*Название контейнера*;
- если 64-разрядная, перейдите по ветке: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings\USERS\*идентификатор пользователя*\Keys\*Название контейнера*.
Дальше действуйте по инструкции:
- Выделяем папку, нажимаем правую кнопку мыши и выбираем «Экспортировать».
- Вводим название файла, сохраняем.
- Копируем файл на накопитель и переносим на тот ПК, где пользователю надо работать с ЭП.
- Открываем скопированный файл с расширением .reg в блокноте. Меняем SID в файле на SID текущего пользователя. SID — это идентификатор безопасности, у каждого пользователя Windows он свой. Чтобы скопировать SID текущего пользователя, зайдите в Пуск, найдите раздел «Выполнить», затем cmd. Введите whoami/user и увидите все нужные сведения о текущем пользователе.
- Если копируете файл из 32-разрядной в 64-разрядную версию, надо добавить команду Wow6432Node в строку блокнота. Пишем фразу после папки Software.
- Сохраняем и снова заходим в реестр.
- Нажимаем на файл реестра правой кнопкой мыши и нажимаем «Слияние».
Если все прошло успешно, изменения отразятся в реестре.
Если появилось сообщение «Ошибка при доступе к реестру», это означает, что слияние прошло с нарушениями. Надо проверить все пути в файле, посмотреть: если в строке лишние знаки и пробелы, удалить их.
Как только слияние завершится, сведения о новом ключевом контейнере появятся в реестре. Остается только установить личный сертификат ЭП на рабочий компьютер. Сделайте это вручную, используя стандартный инструментарий КриптоПро.
Матчасть
То, что на рынке принято называть токеном с неизвлекаемым ключом, правильно называется
Главным отличием ФКН от обычных токенов (Рутокен S, JaCarta PKI, …) в том, что при выполнении криптографических преобразований (например, формирование электронной подписи) закрытый ключ не покидает устройство. В то время как при использовании обычных токенов закрытый ключ копируется с токена в память комптьютера.
Использование ФКН требует особой организации взаимодействия между прикладным криптографическим ПО и библиотекой СКЗИ (криптопровайдером или, по-другому, CSP).
Здесь важно увидеть, что программная часть библиотеки СКЗИ должна знать о существовании на токене апплета, реализующего криптографический функционал (например, генерация ключа, подпись данных и т.д.) и уметь с ним работать.
Как скопировать ЭЦП на флешку
Копирование ключевого контейнера на флеш-накопитель проводят через КриптоПро CSP. Инструкция, как скопировать ЭЦП с рутокена на флешку или с ПК на накопитель, фактически одинаковая. Вот как это сделать:
- Первые шаги такие же, как для копирования через КриптоПро. Скопируйте контейнер через вкладку «Сервис».
- Выберите носитель, на который надо скопировать ключевой контейнер, в открывшемся окне.
- Придумайте пароль.
Можно ли скопировать ЭЦП
Технически скопировать электронную подпись на флешку или в реестр получится у любого пользователя. Это несложная процедура, если внимательно соблюдать инструкцию. Но есть важный нюанс: с 2021 года ЭП руководителям организации и индивидуальным предпринимателям бесплатно выдают в удостоверяющих центрах ФНС. И эту подпись копировать нельзя.
Сами налоговики при оформлении электронной подписи предупреждают владельцев сертификатов, что производить копирование ЭП от УЦ ФНС запрещено. Документы подписывают с помощью единственного ключа, который вставлен в USB-порт рабочего компьютера или ноутбука. Федеральная налоговая служба ввела это правило, чтобы защитить подпись от компрометации и хищения из реестров систем на компьютере. Подписывая документы единственным ключом, владелец подтверждает его уникальность.
Сертификаты ключа ЭП, выданные УЦ ФНС, ЕГАИС, «Лес-ЕГАИС», некопируемые. Нельзя скопировать сертификат и с некоторых сертифицированных токенов:
- JaCarta SF/ГОСТ;
- JaCarta ГОСТ;
- JaCarta PKI;
- Рутокен ЭЦП 2.0;
- Рутокен ЭЦП 2.0 Flash;
- Рутокен 2151;
- Рутокен ЭЦП PKI.
В остальных случаях копирование допускается. Самый простой способ, как скопировать закрытый ключ ЭЦП, — перенести контейнер через КриптоПро. Все нужные инструменты есть в панели управления программного обеспечения. Если ключей много, надо переносить исходные файлы и данные о локации их хранения.
Переносите ЭП только на защищенный носитель. Если новый носитель не защищен, подписи повреждаются или удаляются. А если передать ЭП по незащищенным каналам связи (к примеру, по электронке), то это скомпрометирует ключ, и его придется отозвать.
Как скопировать эцп из реестра на флешку
Предположим, что у вас стоит задача скопировать контейнер из реестра, так как он уже там, то он экспортируемый, для этого открываем криптопро, “Сервис-Скопировать”
Выбираете “Обзор” и ваш сертификат из реестра.
Задаете ему новое имя, удобное для себя.
После чего вас попросят указать флешку, на которую вы будите копировать контейнер с закрытым ключом из реестра.
Обязательно задайте новый пароль.
Ну и собственно теперь открывайте вашу флешку и лицезрейте перенесенный на него контейнер, он будет состоять из файликов с форматом key.
Как видите КриптоПРО, это конвейер, который позволяет легко скопировать сертификат из реестра на флешку или даже дискету, если они еще используются.
Копирование закрытого ключа из КриптоПро
Это самый простой способ, и будет актуальным при небольшом количестве контейнеров с закрытыми ключами. Чтобы выполнить перенос сертификатов из реестра, откройте ваш КриптоПРО, вкладка “Сервис”, нажимаем кнопку “Сервис”, далее через кнопку “Обзор”, откройте “Выбор ключевого контейнера” и укажите, какой сертификат вы будите переносить. В моем примере это контейнер “Копия сертификата в реестре (Семин Иван)”.
Нажимаем “Далее”, вас попросят задать новое имя контейнера с закрытым ключом, введите понятное для себя, для удобства.
У вас откроется окно с выбором носителей, вы можете выбрать либо токен, либо флешку для переноса на другое место. У меня это внешний жесткий диск Z:\.
Задаем обязательно пароль, с точки зрения безопасности, так как файлы в таком виде просто скомпрометировать.
Все, на выходе я получил папку со случайным названием и набором ключей в формате key.
Если вы пытаетесь копировать сертификат с токена, то в ряде случаев у вас может появиться ошибка: Ошибка копирования контейнера. У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0x8009000B (-2146893813) Ключ не может быть использован в указанном состоянии.
Связана такая ситуация, что в целях псевдобезопасности, удостоверяющие центры выпускают закрытые ключи без возможности экспорта, и таким образом увеличивают свою прибыль, так как в случае утери или поломки токена, вам придется его перевыпускать, а так как экспорт запрещен, то бэкапа вы сделать не сможете.
Если вы получили ошибку копирования контейнера. У вас нет разрешений на экспорт ключа, то метод с КРиптоПРО вам не поможет
Массовый перенос ключей и сертификатов CryptoPro на другой компьютер
Выше описанные методы хороши, когда у вас один или 5 ключиков в реестре, а как быть если их десятки. Помню лет 5 назад, когда я еще был младшим администратором, то я очень часто устанавливал электронные цифровые подписи главбуху, так как она работала в СБИС++ и сдавала там постоянно отчетность по огромному количеству организаций, по типу рога и копыта. Держать кучу токенов было не вариант, и для таких вещей у нее все хранилось в реестре и копия сертификатов была на флешке в сейфе. Флешку потом потеряли, встал вопрос сделать резервную копию всего и плюс обновить систему, в виду нового компьютера, на операционной системе Windows 8.1. ЭЦП было штук 50, а так как я ценю свое время, то и искал методы, выполнить это быстрее, к счастью я его нашел.
Заключался метод переноса сертификатов из реестра, в выгрузке веток и подмене SID значения, но обо всем по порядку. О том, как посмотреть SID пользователя и что это такое я рассказывал.
Открываете командную строку cmd и вводите команду:
Вот это S-1-5-21-551888299-3078463796-888888888-46162 и есть SID, вашей учетной записи. Теперь когда вы его знаете, то вам нужно выгрузить ваши закрытые ключи из реестра Windows. Для этого откройте вот такую ветку:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Settings\Users\Номер вашего SID, который мы узнали\Keys
В контейнере Keys, вы найдете все ваши закрытые ключи от ЭЦП. С правой стороны вы увидите файлы: * header.key * masks.key * masks2.key * name.key * primary.key * primary2.key
Щелкаем правым кликом по контейнеру Keys и экспортируем его.
Сохраняем нашу ветку реестра с контейнерами закрытых ключей. Далее нам нужно скопировать открытые ключи, которые лежат по пути:
C:\Users\имя вашего пользователя\AppData\Roaming\Microsoft\SystemCertificates\My
Не забывайте только подставить своего пользователя, эта папка может быть скрытой, поэтому включите скрытые папки и файлы в вашей ОС. Все содержимое этой папки вам нужно перенести на другой компьютер, только уже в папку другого, нужного пользователя.
Как только вы поместили на новом компьютере папку Key, вы можете перенести реестровую выгрузку. Сохраненный файл в формате reg, вы должны открыть в любом текстовом редакторе.
Как я показывал выше, определите SID нового пользователя, скопируйте его полностью и замените им значение в файле reg, я отметил это стрелками.
SID начинается с S-1 и так далее
Все сохраняйте файл и запускайте его, у вас будет начат перенос сертификатов (закрытых ключей), подтверждаем действие.
Как видите импорт успешно завершен. Все теперь ваши закрытые и открытые ключи на месте и вы можете работать с вашими ЭЦП, и можно считать, что перенос сертификатов с одного компьютера на другой в массовом масштабе, осуществлен успешно. Если остались вопросы, то жду их в комментариях.
Перенос сертификатов в виде пошаговой инструкции
Первые два пункта я описывать тут не стану, так как я уже это подробно рассказывал, посмотрите по ссылкам. Я расскажу, об остальных методах и начнем мы с классического КриптоПРО.
Данный метод подойдет для тех ситуаций, когда у вас один или 2 сертификата (ЭЦП). Если же их несколько десятков, а это не такая уж и редкость, то такой путь вам не подходит, и там придется выбирать 4-й метод.
Важное замечание. Я буду переносить контейнеры закрытого ключа, которые хранятся в реестре. Если вы храните их только на токене, то переносить контейнеры вам не надо, только сертификаты
Проведение копирования контейнера с помощью встроенных средств операционной системы windows
При использовании USB-накопителя либо дискеты все можно выполнить стандартными средствами Windows. Для этого достаточно скопировать папку с сертификатом на конкретный носитель. Внутри этой папки будет 6 файлов с одинаковым расширением .key. Также здесь может находиться ключ в виде файла типа keyName.cer, копировать который необязательно.
Файлы для электронной цифровой подписи имеют следующие наименования (все имеют расширение .key):
Файл primary.key включает в себя 32 байта ключа, представленного в формате ASN1. При этом данное значение представляет собой только 50% искомого ключа, так как полная его версия может быть получена при делении на маску с учетом модуля Q.
Файл masks.key включает 32 байта маски ключа, которая также представлена в формате ASN1. Также здесь есть 12 байт данных для генерации ключа при условии, что криптографический контейнер защищен от несанкционированного доступа паролем (последний также принимает участие при генерации уникального ключа хранения). Завершает перечень информации в файле контрольная сумма, занимающая 4 байта.
Файл header.key представляет собой набор параметров ЭЦП и другую общую информацию.
На MacOS в КриптоПро CSP версии 5
- Откройте программу Launchpad и введите в строке поиска «КриптоПро CSP». Запустите приложение.
- Перейдите в раздел «Контейнеры».
- Выберите подпись и нажмите «Скопировать контейнер».
- Укажите носитель, на который хотите скопировать подпись. Если появилось сообщение «Authentication» придумайте пароль для контейнера.
- Вставьте носитель в компьютер. Откройте программу «VipNet CSP» (Пуск/Все программы/VipNet/VipNet CSP).
- В разделе «Контейнеры ключей» выберите контейнер, который нужно скопировать. Нажмите «Копировать в…».
- Укажите новое имя контейнера (например, ФИО руководителя или название организации), выберите место хранения нового ключа (носитель или папку) и нажмите «ОК».
- Введите пароль от контейнера, копию которого делаете (если он был установлен при создании контейнера).
- Задайте пароль для нового ключа и нажмите «ОК».
Если вы копируете ЭП, чтобы использовать ее на другом ПК, убедитесь, что на нем установлена та же версия ViPNet CSP или выше.
Подпись скопирована.
Нашли неточность? Выделите текст с ошибкой и нажмите ctrl + enter.
Когда нужно переносить сертификаты в другое место?
И так давайте рассмотрим по каким причинам у вас может появиться необходимость в копировании ваших ЭЦП в другое место.
- На текущем физическом компьютере начинает умирать жесткий диск или SSD накопитель (Как проверить жизненные показатели жесткого диска), очень частая история и жизненная, когда люди теряли все свои данные, из-за банальной жадности в покупке нового оборудования и элементарного незнания принципов резервного копирования.
- У вас производится модернизация оборудования, его улучшение и вам нужно перенести все сертификаты с закрытыми ключами на другую систему
- Вы создали отдельный сервер, в виде виртуальной машины, где будут находится все ваши сертификаты и с ними смогут работать все необходимые сотрудники, терминал для бухгалтерии. Простой пример СБИС, и когда у вас 10-20 организаций.
Сообщение-отдел 19
Типовые ошибки ЭБ
Jinn Sign Extension Provider
Jinn Sign Extension Provider может не до конца установится, если использовать предложенную папку по умолчанию (папка в профиле пользователя). Если пользователь на кирилице 100% будут проблемы.
Надо изменить папку на C:Program FilesSecurity Code (если х64, то папку C:Program Files(х86)Security Code)
Параметры командной строки для тихой установки Jinn Sign Extension Provider сразу для всех пользователей Windows (путь можете указать свой, лишь бы он был доступен для всех пользователей):
msiexec /i JinnSignExtensionSetup.msi /qn INSTALLLOCATION=”%ALLUSERSPROFILE%Security Code” ALLUSERS=1
ПРИМЕЧАНИЕ: Командную строку нужно запускать по правой кнопки мыши с выбором “Запуск от имени администратора”
======
Jinn не видит контейнер
Не корректно установленный или вообще не установленный eXtended Container(пути решения представлены ниже).
Так же бывают проблемы с отобраджением сертификатов по ГОСТу 2001. Без необходимости eXtended Container лучше не ставить.
Второй причиной может заключаться в названии организации, для сертификатов по ГОСТу 2021, превышает 127 символов(а в некоторых случаях и 74 символа), то jinn просто не видит контейнер с таким сертификатом.
Решение – конвертация контейнера. Утилита конвертации контейнеров КриптоПро в PKCS#15 доводилась. Инструкция по использованию в архиве. Для работы на рабочем месте должен быть установлен КриптоПро CSP.
======
Континент TLS 2 “Доступ к конфигурационному файлу запрещен”
Ошибка Континент TLS 2 “Доступ к конфигурационному файлу запрещен” связана с отсутствием прав на чтение-запись.
Все установщики запускать через *.ехе, а не через *.msi и от имени администратора. Либо используем командную строку для *.msi. Если это не помогло, смотрим права на ветку реестра [HKEY_LOCAL_MACHINESOFTWARESecurityCode]
Так же встречаются аналогичные проблемы с директориями.
c:Program FilesSecurity Code
c:UsersPublicContinentTLSClient
=======
УНИВЕРСАЛЬНОЕ РЕШЕНИЕ
1. Через панель управления удалить ВСЕ продукты КриптоПро и Кода Безопасности, перезагрузка
2. Удаление через cspclean (CryptoPRO)и cspcleaner -to (Код Безопасности), перезагрузка,
3. Удаление следов в ProgramFiles, удаление веток [HKEY_LOCAL_MACHINESOFTWARESecurityCode] и [HKEY_LOCAL_MACHINESOFTWARESecurity Code], перезагрузка
4. Установить необходимых библиотеки Visual C (vcredist). Есть в составе продуктов Кода Безопасности
5. Установка КриптоПро 4.0.9944 или 4.0.9963, перезагрузка
6. Установка Jinn v1.0.3050
7. Установка Jinn Sign Extension Provider
8. Установка eXtended Container(ранее XC) v 1.0.2.2
5. Установка TLS клиента 2.0.1440
Желательно ставить x86(32 разрядное ПО) Если работаем через IE запускаем из ..Program Files(х86)..
В противном случае соблюдаем разрядность для всего ПО.
=======
На заметку Континент АП 3.7.7.651
Для установивших Континент АП 3.7.7.651 с криптопровайдером КБ(Код Безопасности) CSP
Для правильной установки Континент TLS-клиент». Версия 2 придётся удалять Континент АП и вычистить следы утилитой от кода безопасности с параметрами -to из командной строки от имени администратора. При установке Континент АП обязательно должен быть установлен КриптоПРО. Тогда TLS клиент не будет пытаться установить или обновить свой криптопровайдер. Затем устанавливаем Континент АП с его криптопровайдером.
Не забываем удалить:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyOIDEncodingType 1CryptDllImportPublicKeyInfoEx1.2.643.7.1.1.1.1
HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftCryptographyOIDEncodingType 1CryptDllImportPublicKeyInfoEx1.2.643.7.1.1.1.1
из реестра.
По-новому взглянем на наш тестовый стенд
В качестве одного из ключевых носителей использовался Рутокен ЭЦП. Через «Панель управления Рутокен» о нем можно получить следующую информацию:
В последней строке указана фраза «Поддержка КриптоПРО ФКН: Нет», а это значит, что на токене нет апплета, с которым умеет работать СКЗИ КриптоПРО CSP. Таким образом, реализация технологии ФКН с использованием СКЗИ и токенов, описанных в конфигурации тестового стенда, невозможна.
Аналогичная ситуация и с JaCarta ГОСТ. Более того, СКЗИ КриптоПРО CSP, по крайней мере та версия, которая использовалась в тестовом стенде, использует данные ключевые носители как «обычные токены», которые, в свою очередь, являются просто носителями ключа.
Это утверждение очень просто подтвердить. Для этого надо поставить СКЗИ КриптоПРО CSP на чистую машину без драйверов от токенов и подключить токен JaCarta ГОСТ. ОС Windows 7 обнаружит токен JaCarta ГОСТ как «Устройство чтения смарт-карт Microsoft Usbccid (WUDF)». теперь можно попробовать создать ключ на токене и скопировать его в реестр компьютера. Весь функционал СКЗИ успешно отработает.
Как скопировать ЭЦП на компьютер
Если записали ключ на дискету или флешку, скопируйте контейнер через средства Windows. Но такой вариант подходит, если у вас установлена версия КриптоПро CSP не ниже 3.0. Вот как скопировать ЭЦП с рутокена на компьютер с помощью инструментов Windows — поместить в корень накопителя папку с закрытым ключом и открытый ключ, то есть файл самого сертификата, если он есть. Файлы перемещают только в корень, иначе с ЭП не получится работать. Название папки менять не надо.
Закрытый ключ находится в папке с другими ключами: их 6 и у всех расширение .key. Открытый — это отдельный файл с расширением .cer. Если в закрытом присутствует открытый ключ, он весит больше 1 килобайта и включает в название header.key. Тогда отдельно копировать открытый ключ не надо.
Общий алгоритм копирования средствами Windows:
- Зайти в свойства браузера, во вкладку «Содержание». Найти раздел «Сертификаты».
- Во вкладке «Личные» найти нужный контейнер и запустить экспорт. При запуске мастера экспорта нажать «Нет, не экспортировать закрытый ключ».
- Выбрать нужный формат — DER-кодировку.
- Уточнить, куда копируете ЭП.
- Скопировать и нажать «Готово».
Получается, что рутокен эцп и jacarta гост не являются токенами с неизвлекаемым ключом?
Опять нет. Данные устройства могут реализовывать функционал ФКН (но, возможно, в меньшем объеме, чем при использовании их совместно с СКЗИ КриптоПРО), но для этого нужен софт, который умеет работать с апплетами размещенными на токенах. Таким софтом может быть
. Он это
. При генерации ключевой пары в мастере КриптоАРМ можно выбрать криптопровайдер, который будет использоваться, например, Rutoken ECP или eToken GOST. Это и позволит использовать токен как ФКН.
Ошибка 0x8009000B Ключ не может быть использован в указанном состоянии
И так у Вас есть ЭЦП и Вы пытаетесь скопировать закрытый ключ с флешки в системный реестр Windows, либо наоборот и видите сообщение следующего вида.

Это говорит о том что во время создания закрытого ключа не был отмечен пункт который разрешает экспорт закрытого ключа. Проверить это достаточно легко, открываем КриптоПро переходим на вкладку «Сервис» и выбираем пункт «Протестировать …»

Далее выбираем сертификат и смотрим на результат, в открывшемся окне ищем пункт «Экспорт ключа» и если на против стоит «Запрещено» то увы произвести экспорт (копирование) никакими средствами не получиться.
1 Если вы получили ЭЦП в УЦ на Рутокене, eToken то использовать его можно будет только подключив съемный носитель к компьютеру.
2 Если закрытый ключ находиться на обычной флешке то его можно скопировать на другую флешку либо другой диск и использовать.
3 Если ЭЦП Вы получали через личный кабинет (такое возможно при продлении) и закрытый ключ скопировали в реестр, то его можно перенести на другой ПК, но это лучше поручить опытному человеку, так как если вы что-то сломаете в реестре то можно попасть на переустановку ОС.

Кстати выглядит эта опция примерно вот так, это заявление на продление ЭЦП федерального казначейства.

В принципе тут нет ничего страшного, если необходимо установить такую ЭЦП на несколько рабочих место, то можно воспользоваться флешками или например, если в системе есть дополнительный жесткий диск D,E,B не важно какой, закрытый ключ можно скопировать туда.
Если скопировать закрытый ключи в корень диска С, система его не увидит!!!
Способы копирования ЭЦП
Существует несколько способов, как выгрузить сертификаты ЭЦП на рабочий стол. Для этого можно использовать программу КриптоПро, проводник Windows или консоль.
Извлечение сертификата из контейнера
Как извлечь сертификат из контейнера закрытого ключа:
- Запустить КриптоПро CSP.
- Перейти во вкладку «Сервис».
- Нажать «Посмотреть сертификаты в контейнере».
- Нажать «Обзор».
- В новом окне будет список контейнеров закрытого ключа, из которого выбирают нужный, и нажимают «ОК».
- Затем нажать «Далее».
- При необходимости ввести pin-код и нажать «ОК».
- В открывшемся окне необходимо нажать кнопку «Свойства».
- Перейти на вкладку «Состав» и нажать кнопку «Копировать».
- В новом окне нажимают «Далее» и выбирают пункт «Не экспортировать закрытый ключ».
- В следующем рабочем окне выбирают первый пункт кодировки.
- Затем нажимают «Обзор», выбирают путь сохранения сертификата и указывают имя файла, нажимают «Сохранить».
Для завершения процесса нужно нажать на кнопку «Далее», затем «Готово».
Копирование закрытого ключа в реестр
Экспортировать закрытый ключ вместе с сертификатом можно и в реестр, а оттуда — переместить на рабочий стол или в любое удобное место на ПК. Для этого также используется программа КриптоПро.
Пользователь должен:
- Запустить КриптоПро, открыть меню «Сервис» и нажать «Копировать».
- В новом окне выбрать контейнер, где хранятся закрытые ключи.
- Нажать «Далее» и перейти к копированию контейнера, а в поле «Имя контейнера» ввести название ЭЦП.
- Затем выбрать «Реестр».
Для установки скопированного сертификата нужно:
- Еще раз открыть КриптоПро и во вкладке «Сервис» выбрать «Посмотреть сертификаты в контейнере».
- Через «Обзор» выбрать нужный сертификат.
- Проверить данные сертификата, срок действия и фио или иные данные.
- Последовательно нажать «Установить», «Да», «Ок».
Экспорт сертификата с закрытым ключом прошел успешно, и теперь для работы с ЭЦП не нужно больше подключать носитель.
Копирование при помощи мастера экспорта ключей
Есть еще один способ переноса электронной подписи на компьютер. Для этого необходимо проделать следующие действия:
- Проделать путь «Пуск», «Панель управления», «Свойства обозревателя».
- Выбрать вкладку «Содержание», после чего через кнопку «Сертификаты» перейти во вкладку «Личные», а в открывшемся списке найти сертификат, который необходимо скопировать. Нажать «Экспорт».
- В открывшемся мастере экспорта сертификатов нажимают «Далее».
- Поставить нужные галочки.
- Выбрать первый пункт (файлам с расширением Х.509).
- Через «Обзор» выбрать место, куда необходимо сохранить закрытый ключ.
- Нажать последовательно «Далее» и «Готово».
После копирования закрытого ключа использовать электронную подпись можно также без предварительного подключения USB-носителя.
Массовое копирование
Чтобы перенести сразу несколько ключей ЭЦП на другой компьютер или на любой другой носитель, проще использовать консольный метод.
Для копирования необходимо узнать SID пользователя. Сделать это можно при помощи команды wmic useraccount where name=’zerox’ get sid.
Для копирования контейнеров в файл нужно открыть редактор реестра и перейти в ветку: \HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Settings\Users\S-1-5-21-4126079715-2548991747-1835893097-1000\Keys.
Затем пользователь выбирает и экспортирует папку Keys.
Ветку с закрытыми ключами сохраняют в отдельный файл. Теперь нужно скопировать все сертификаты. В OS Windows 7 и старше они находятся в директории C:\Users\zerox\AppData\Roaming\Microsoft\SystemCertificates\My. Для переноса ветку реестра копируют, затем открывают в текстовом редакторе и меняют значение SID для нового ПК или пользователя.
Остается лишь запустить файл с расширением .reg и загрузить данные в реестр. После этого пользователь копирует папку с сертификатами на другой компьютер.
Когда нужно переносить сертификаты в другое место?
И так давайте рассмотрим по каким причинам у вас может появиться необходимость в копировании ваших ЭЦП в другое место.
- На текущем физическом компьютере начинает умирать жесткий диск или SSD накопитель (Как проверить жизненные показатели жесткого диска), очень частая история и жизненная, когда люди теряли все свои данные, из-за банальной жадности в покупке нового оборудования и элементарного незнания принципов резервного копирования.
- У вас производится модернизация оборудования, его улучшение и вам нужно перенести все сертификаты с закрытыми ключами на другую систему
- Вы создали отдельный сервер, в виде , где будут находится все ваши сертификаты и с ними смогут работать все необходимые сотрудники, терминал для бухгалтерии. Простой пример СБИС, и когда у вас 10-20 организаций.
Зачем копировать сертификаты ЭЦП
Перенос ключей и сертификатов электронной подписи необходим в нескольких случаях. Первый из них — работа с ЭЦП сразу на нескольких ПК. Переставлять флешку с ключом не всегда удобно, поэтому пользователи предпочитают иметь копию на рабочем столе. Вторая причина для создания резервной копии — возможность потери или порчи USB-носителя. Это относится к людям, часто и много путешествующим, и работающим из нескольких точек. Необходимость копирования закрытого ключа есть и в случае создания виртуального сервера, к которому будут иметь доступ сразу несколько организаций.